Sieci botnet: dochodowy interes

Przeczytaj także: Komputer zombie - zagrożenie nie tylko w Halloween

Botnet robaka Storm spowodował liczne problemy. Przypuszcza się, że oprócz masowego rozsyłania spamu botnet ten został użyty w wielu przeprowadzonych na dużą skalę globalnych atakach DDoS. Według niektórych ekspertów, botnet Storm został wykorzystany w cyberataku na Estonię w 2007 roku. Szkoda, jaką mogłaby wyrządzić taka sieć, niepokoi zarówno dostawców usług internetowych, jaki i dostawców hostingu internetowego. Niepewność zwiększa dodatkowo fakt, że rozmiar botnetu robaka Storm pozostaje nieznany. O ile inne sieci zombie, w pełni lub częściowo zależne od C&C, mogą być całkowicie widoczne (ponieważ C&C widzi każdy komputer zombie połączony z botnetem), żaden ekspert nie widział listy zainfekowanych maszyn, które tworzą botnet robaka Storm. Szacunki dotyczące rozmiaru botnetu wahają się od 50 000 do 10 000 000 komputerów zombie.

Pod koniec 2007 roku zaczęło wydawać się, że botnet robaka Storm topnieje. Mimo to każdego dnia Kaspersky Lab wciąż wykrywa kilka nowych wersji tego bota. Niektórzy eksperci uważają, że sieć zombie została rozbita na części i sprzedana, inni natomiast podejrzewają, że botnet okazał się niedochodowy; dochody, jakie generował, nie pokrywały znaczących kosztów jego rozwoju i wsparcia.

2. Mayday

Mayday jest botnetem opartym na architekturze P2P. Po uruchomieniu bot łączy się z serwerem internetowym określonym w ciele programu, rejestruje się w bazie serwera i otrzymuje listę wszystkich botów w zainfekowanej sieci komputerowej (w przypadku robaka Storm, każdy bot otrzymał tylko częściową listę). Następnie bot nawiązuje połączenia peer-to-peer z innymi botami w sieci zombie.

Na całym świecie eksperci z Kaspersky Lab wykryli sześć różnych serwerów (w Wielkiej Brytanii, Stanach Zjednoczonych, Holandii i Niemczech), z którymi łączyły się boty podczas tworzenia botnetu. Na początku marca 2008 roku działał tylko jeden serwer, na którym zarejestrowanych było około 3 000 botów (dla porównania, botnet robaka Storm, według najbardziej konserwatywnych szacunków składał się z dziesiątek tysięcy zainfekowanych komputerów).

Mayday ustępuje swojemu "dużemu bratu" Storm nie tylko pod względem rozmiaru: botnet Mayday wykorzystuje niezaszyfrowany protokół komunikacji sieciowej, szkodliwy kod nie został ulepszony, tak aby utrudnić analizowanie go przez oprogramowanie antywirusowe i, co najważniejsze, nowe warianty botów nie pojawiają się z tak dużą częstotliwością jak nowe warianty robaka Storm. Backdoor.Win32.Mayday został wykryty przez firmę Kaspersky Lab pod koniec listopada 2007 roku i od tego czasu kolekcja firmy zawiera ponad 20 różnych wariantów tego szkodliwego programu.

Jeżeli chodzi o nowe technologie, warto wspomnieć o dwóch niestandardowych podejściach zaimplementowanych w tym botnecie.

Po pierwsze, sieć Mayday wykorzystuje komunikację peer-to-peer (P2P) opartą na wiadomościach ICMP zawierających 32-bajtową szkodliwą funkcję. Protokół ICMP (Internet Control Message Protocol) znany jest większości użytkowników, ponieważ jest on wykorzystywany przez narzędzie PING do sprawdzania dostępności hosta sieciowego. Jednak protokół ten oferuje znacznie szerszy zakres funkcji. W Wikipedii możemy znaleźć następującą definicję ICMP: "Internet Control Message Protocol (ICMP) jest jednym z podstawowych protokołów zestawu protokołów internetowych. Wykorzystywany jest głównie przez systemy operacyjne sieci komputerowych w celu wysłania wiadomości o błędzie, które wskazują na przykład, że żądana usługa nie jest dostępna lub że nie można było uzyskać połączenia z hostem lub routerem".

ICMP jest wykorzystywany do sprawdzania dostępności bota w sieci zainfekowanych komputerów oraz w celu identyfikacji bota. Ponieważ boty Mayday zostały tak zaprojektowane, aby działały pod kontrolą systemu Windows XP SP2, po uruchomieniu programy te modyfikują reguły zapory sieciowej Windows w celu otrzymywania pakietów ICMP.